De bescherming van uw persoonlijke gegevens moet ook buiten de Europese Unie effectief zijn

Laura Drechsler: De bescherming van uw persoonlijke gegevens moet ook buiten de Europese Unie effectief zijn Bron: Laura Drechsler & Shutterstock

Op 28 januari 2022 is het opnieuw internationale dag van de gegevensbescherming. Deze dag werd gekozen omdat precies 41 jaar geleden het Verdrag 108 van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens ondertekend werd. Kortom kan er gezegd worden dat de wettelijke bescherming van persoonsgegevens in Europa al meer dan 40 jaar bestaat. Vier jaar geleden heeft de bescherming van persoonsgegevens in het kader van de Europese Unie zelfs een grote stap voorwaarts gezet met de goedkeuring van de algemene verordening gegevensbescherming (AVG). Vanaf het begin was het duidelijk dat een effectieve bescherming van persoonsgegevens in Europa regels vereist, zodat gegevens tussen verschillende landen gemakkelijk doorgegeven kunnen worden. Met een eenvoudige muisklik kunnen gegevens immers de hele wereld rondgaan, iets wat een wet niet kan. Bovendien kunnen persoonsgegevens op meerdere plekken tegelijk zijn doordat ze gekopieerd kunnen worden. Om deze redenen werden er van bij het begin specifieke regels  voorzien, die ervoor moesten zorgen dat gegevens niet zonder bescherming doorgegeven kunnen worden. Het basisprincipe van deze regels kan nog altijd teruggevonden worden in de AVG, m.n. persoonlijke gegevens kunnen enkel uit de Europese Unie verplaatst worden als de bestemming  van hun verplaatsing hetzelfde beschermingsniveau van de gegevens kan garanderen.[1] Met andere woorden, als de bescherming van de gegevens met de gegevens meegaat.

In mijn doctoraatsonderzoek analyseer ik hoe de wettelijke bescherming van eenieder er in detail uitziet wanneer onze persoonlijke gegevens worden doorgegeven. Ik focus me hierbij in het bijzonder op de rechten die van toepassing zijn op de persoonsgegevens, zelfs wanneer deze gegevens niet in de Europese Unie verwerkt worden. Persoonsgegevens die in de Europese Unie verwerkt worden, zijn namelijk onderhevig aan een aantal rechten. Deze rechten houden o.a. de mogelijkheid in tot het krijgen van informatie over wat er met onze gegevens gebeurt, evenals inzage in de gegevens die bij een verwerking betrokken zijn. Bovendien beschikt iedereen over het recht om zijn gegevens te corrigeren als ze fout zijn of te verwijderen als ze bijvoorbeeld niet wettelijk zijn verwerkt. Deze rechten maken daarnaast ook deel uit van ons grondrecht op bescherming van persoonsgegevens op basis van het artikel 8 van het Handvest van de grondrechten van de Europese Unie. Mijn onderzoek toont aan dat de verwevenheid met onze grondrechten ervoor zorgen dat het recht op informatie, het recht op inzage, het recht op rectificatie en de gegevensverwijdering een belangrijke deel vormen van de bescherming van persoonsgegevens in de Europese Unie. Daarom is het belangrijk dat deze rechten gehandhaafd moeten worden als de persoonsgegevens aan derden buiten de Unie doorgegeven worden. De bescherming dient de gegevens te volgen. Dit werd tevens bevestigd door het Europese gerechtshof.[2]

In onze huidige samenleving is het van groot belang dat onze rechten betreffende onze eigen persoonsgegevens afdwingbaar zijn. Door het gebruik van het internet sturen wij dagelijks onze gegevens de wereld rond. Deze stijgende trend is meer dan ooit actueel omdat wij nu door de huidige pandemie nog meer aangewezen zijn op het gebruik van het internet voor verschillende belangrijke aspecten van het sociale leven zoals communicatie. Om zeker te zijn dat al deze gegevens in overeenstemming met onze grondrechten verwerkt worden en niet op een foute manier gebruikt worden, bijvoorbeeld door informatie over ons privéleven prijs te geven, is het noodzakelijk dat Europeanen hun rechten behouden als hun gegevens zich niet (alleen) meer in de Europese Unie bevinden. Mijn doctoraatsonderzoek toont aan dat dit theoretisch alvast in de wet voorzien werd.  

-----------------------------------------------------------------------------------------

[1] Art. 44 AVG.

[2] Zaak C-362/15, Maximillian Schrems tegen Data Protection Commissioner, 6 october 2015 (ECLI:EU:C:2015:650), 95; Zaak C-311/18, Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems, 16 juli 2020 (ECLI:EU:C:2020:559), 187.